Delen via


Aanbevelingen voor API/API Management-beveiliging

In dit artikel vindt u alle aanbevelingen voor API/API Management-beveiliging die u in Microsoft Defender voor Cloud kunt zien.

De aanbevelingen die in uw omgeving worden weergegeven, zijn gebaseerd op de resources die u beveiligt en in uw aangepaste configuratie.

Zie Aanbevelingen herstellen in Defender voor Cloud voor meer informatie over acties die u kunt ondernemen als reactie op deze aanbevelingen.

Aanbevelingen voor Azure API

Microsoft Defender voor API's moet zijn ingeschakeld

Beschrijving en gerelateerd beleid: Schakel het Defender for API-plan in om API-resources te detecteren en te beveiligen tegen aanvallen en onjuiste beveiligingsconfiguraties. Meer informatie

Ernst: Hoog

Azure API Management-API's moeten worden toegevoegd aan Defender for API's

Beschrijving en gerelateerd beleid: Onboarding API's voor Defender for API's vereist reken- en geheugengebruik in de Azure API Management-service. Bewaak de prestaties van uw Azure API Management-service tijdens het onboarden van API's en schaal uw Azure API Management-resources zo nodig uit.

Ernst: Hoog

API-eindpunten die niet worden gebruikt, moeten worden uitgeschakeld en verwijderd uit de Azure API Management-service

Beschrijving en gerelateerd beleid: Als best practice voor beveiliging worden API-eindpunten die gedurende 30 dagen geen verkeer hebben ontvangen beschouwd als ongebruikt en moeten ze worden verwijderd uit de Azure API Management-service. Het behouden van ongebruikte API-eindpunten kan een beveiligingsrisico vormen. Dit kunnen API's zijn die moeten zijn afgeschaft vanuit de Azure API Management-service, maar die per ongeluk actief zijn gebleven. Dergelijke API's ontvangen doorgaans niet de meest recente beveiligingsdekking.

Ernst: Laag

API-eindpunten in Azure API Management moeten worden geverifieerd

Beschrijving en gerelateerd beleid: API-eindpunten die zijn gepubliceerd in Azure API Management moeten verificatie afdwingen om beveiligingsrisico's te minimaliseren. Verificatiemechanismen worden soms onjuist geïmplementeerd of ontbreken. Hierdoor kunnen aanvallers misbruik maken van implementatiefouten en toegang krijgen tot gegevens. Voor API's die zijn gepubliceerd in Azure API Management, beoordeelt deze aanbeveling verificatie door de aanwezigheid van Azure API Management-abonnementssleutels te controleren voor API's of producten waarvoor een abonnement is vereist, en de uitvoering van beleid voor het valideren van JWT-, clientcertificaten en Microsoft Entra-tokens . Als geen van deze verificatiemechanismen wordt uitgevoerd tijdens de API-aanroep, ontvangt de API deze aanbeveling.

Ernst: Hoog

Aanbevelingen voor API Management

API Management-abonnementen mogen niet worden beperkt tot alle API's

Beschrijving en gerelateerd beleid: API Management-abonnementen moeten worden afgestemd op een product of een afzonderlijke API in plaats van alle API's, wat kan leiden tot overmatige blootstelling aan gegevens.

Ernst: gemiddeld

API Management-aanroepen naar API-back-ends mogen geen vingerafdruk van certificaat of naamvalidatie overslaan

Beschrijving en gerelateerd beleid: API Management moet het back-endservercertificaat valideren voor alle API-aanroepen. Schakel vingerafdruk van SSL-certificaat en naamvalidatie in om de API-beveiliging te verbeteren.

Ernst: gemiddeld

Het eindpunt voor direct beheer van API Management mag niet zijn ingeschakeld

Beschrijving en gerelateerd beleid: De REST API voor direct beheer in Azure API Management omzeilt op rollen gebaseerd toegangsbeheer, autorisatie en beperkingsmechanismen van Azure Resource Manager, waardoor het beveiligingsprobleem van uw service toeneemt.

Ernst: Laag

API Management-API's mogen alleen versleutelde protocollen gebruiken

Beschrijving en gerelateerd beleid: API's moeten alleen beschikbaar zijn via versleutelde protocollen, zoals HTTPS of WSS. Vermijd het gebruik van niet-beveiligde protocollen, zoals HTTP of WS, om de beveiliging van gegevens in transit te waarborgen.

Ernst: Hoog

Api Management-geheim benoemde waarden moeten worden opgeslagen in Azure Key Vault

Beschrijving en gerelateerd beleid: Benoemde waarden zijn een verzameling naam- en waardeparen in elke API Management-service. Geheime waarden kunnen worden opgeslagen als versleutelde tekst in API Management (aangepaste geheimen) of door te verwijzen naar geheimen in Azure Key Vault. Verwijs naar geheim met benoemde waarden van Azure Key Vault om de beveiliging van API Management en geheimen te verbeteren. Azure Key Vault biedt ondersteuning voor gedetailleerd toegangsbeheer en beleidsregels voor geheimrotatie.

Ernst: gemiddeld

API Management moet openbare netwerktoegang tot de serviceconfiguratie-eindpunten uitschakelen

Beschrijving en gerelateerd beleid: om de beveiliging van API Management-services te verbeteren, beperkt u de connectiviteit met serviceconfiguratie-eindpunten, zoals API voor direct toegangsbeheer, Eindpunt voor Git-configuratiebeheer of zelf-hostende gateways- en configuratie-eindpunten.

Ernst: gemiddeld

De minimale API-versie van API Management moet zijn ingesteld op 2019-12-01 of hoger

Beschrijving en gerelateerd beleid: Om te voorkomen dat servicegeheimen worden gedeeld met alleen-lezen gebruikers, moet de minimale API-versie worden ingesteld op 2019-12-01 of hoger.

Ernst: gemiddeld

API Management-aanroepen naar API-back-ends moeten worden geverifieerd

Beschrijving en gerelateerd beleid: aanroepen van API Management naar back-ends moeten een vorm van verificatie gebruiken, ongeacht of het gaat om certificaten of referenties. Is niet van toepassing op Service Fabric-back-ends.

Ernst: gemiddeld